國外AV終結者水土不服　區域限制難發威

【賽迪網-IT技術報道】這一陣的病毒播報中注意到一個病毒：Win32.TrojDownloader.Zlob.65536。

這也是個木馬下載器，具備一定的對抗反病毒軟體的能力。含有大量的加密字符串信息和垃圾代碼，試圖干擾殺毒軟體對它進行查殺，並會下載國外的對抗型木馬。Zlob系列下載器行為較簡單，就是連接網絡下載大量其它木馬到用戶機器中。

病毒行為：

1.判斷當前機器連網狀態，記錄當前機器MAC地址等信息。

2.連接以下地址獲取下載列表

http://74.*0.1*7.165/confirm.phphttp://*4.247.*9.247/confirm.phphttp://viac***cright2.com/s1265.php

下載的文件保存為C:/setup_ver1.1524.0.exe，運行該文件。

3.在系統中搜索部分安全工具進程，由於是國外較流行病毒，針對的安全工具在國內較少見，包括：syscleaner.exe、winantispyware2008、thespybot.exe等，發現這些進程則時利用TerminateProcess結束，並刪除進程相關文件。

可見木馬的地區分佈很明顯，這個木馬從對抗性來講，明顯不如國產AV終結者功能全面，還是中國盜號者牛啊。

(